本文讨围绕邮件外发风险识别，讨论如何定义合理业务需要和违规外发，如何剖析外发场景，区分业务需要和判定要素，如何引入各种安全能力，提高自动化处理效率。

邮件审计背景

自1971年世界上第一封电子邮件发出以来，这封对人类社会的发展已经产生了深远的影响，到2019年底，全球有29亿电子邮件用户（占全球人口的三分之一以上）。据Statista称，关于全球每天发送的电子邮件，2017年每天发送和接收的电子邮件约为2690亿封，预计这一数字将在2021年增加到每天近3200亿封电子邮件。

Radicati的调查更详细地分解了每日电子邮件流量，截至2018年，每天发送和接收的商业电子邮件数量约为1245亿封，而每天发送和接收的消费者电子邮件数量约为1111亿封。

而对于企业数据安全而言，电子邮件是数据泄露最方便的渠道之一，也是泄露事件发生概率最高的渠道。即使企业加强对电子邮件的监控，安全人员也很容易淹没在海量邮件外发的事件中。特别是对有着合理外发诉求的对外业务部门，比如销售、公关、商务等，如何从看似合情合理的外发事件中甄别出违规事件非常需要安全运营同学深入到业务中。

邮件外发审计依据

俗话说“无规矩不成方圆”，企业开展邮件外发监控的首要依据是内部可落地的安全管理规范以及违规处罚标准，其次是邮件系统的架构可以支撑审计能力的开展，最后需要的是从海量的邮件外发中将高风险外发行为识别出来大数据风险策略能力。

邮件审计目的

将企业中合理邮件外发场景梳理清晰，形成审计策略。将异常外发行为的特征具象化，作为风险量化依据。针对超过风险阈值的事件做分层处置，低于一定阈值的，可以仅记录时间不处置，待事后抽查。在一定阈值之类的，可人工处置。高于一定阈值的，直接发送事件。

安全规范支撑

电子邮件作为公司配发给员工的通讯工具，在安全规范中需要明确以下内容：

• 确认企业对数据泄露的定义已涵盖了邮件泄露方式

• 制定了数据安全分类分级标准，作为邮件泄露的事件定性的标准

• 具有可落地执行的人事奖惩制度，作为违规后处罚的执行标准，并以此要求主管及人事配合安全人员进行调查和处置

除上述企业安全规范要求外，电子邮件也不推荐作为以下用途：

技术架构

企业可以自建邮件服务器采集邮件收入日志，也可以部署邮件网关设备，或从邮件服务商处获取完整的邮件收发日志，有条件的也可以同时存储正文和附件。

大数据审计能力

传统邮件外发监控的最大缺陷是仅凭有限的人力无法从海量的邮件外发事件中逐一进行核验，无法将所有识别维度快速进行解读分析，并且无法将日常审计中归纳总结的经验通过系统做自动化处置。因此一般邮件的发送日志仅能用于事后的风险事件溯源，或在有明确审计目标的前提下开启定向监控。

通过大数据技术可以在原有维度进行形成有效补充，包括但不限于企业内部的人事数据、业务数据、IT数据、行为数据、安全风控数据，以及可以从外部采集或分析得出的收件人（域名）的画像，内外部数据融合后，形成完整的分析链路。

安全团队可以藉由相关数据形成场景、策略，辅以算法模型分析，进行风险阈值打分，将高风险邮件外发行为识别出来，使得审计效率、准确率获得极大的提升。

外发场景剖析

业务梳理

场景梳理

安全运营人员可以基于一个较长时间范围内各部门邮件外发的情况，形成基本认知。如外发时间（长期、非长期），发送频度（高、中、低），发送人员（全员、多数、较少、极少），波动（较大、平稳）。结合人事数据中的部门名称、岗位名称等，剔除发送量处于头部的明显有合理业务需求的部门，深入了解处于中部的外发需求，尾部则抽样调研，一 一分类，最终将企业外发情况掌握清楚。

敏感要素

安全运营人员在做业务梳理的同时，也需要业务部门的配合与支持，提供判断敏感的要素，如关键词、收发对象、特定文件或内容等，帮助运营同学鉴别风险。以下为参考示例：

构建审计场景

邮件外发可以分为黑白灰三种场景：

风险事件产出

产出方式

1. 将邮件外发日志导入大数据平台；

2. 将黑白灰场景通过大数据平台做区分，并按照预定的决策方式进行处置；

3. 命中黑色场景的直接审计

4. 命中白色场景的滤过该事件

5. 命中灰色场景的，再经过风险决策引擎计算分值，到达一定阈值的视为高风险行为，做审计处置，其他的标记风险结论保存。

风险分计算

公式：邮件外发风险分=X人员关系分+Y行为场景分+Z内容检测分

得分划为3个区间，【高风险】【中风险】【低风险】

注：XYZ为权重需要根据企业实际情况配置

人员关系分数来源：

• 发送人或所属团队

• 收件人或所属外部组织

• 收发对象之间的关系紧密度

• 以及其他企业可以利用的数据，如是否亲友或有密切往来的关系圈

行为场景分来源：

• 时间异常，如非工作时段、非工作日

• 匹配度异常：

  岗位匹配度、文件匹配度等

• 频度异常：

  首次或高频

• 特殊状态：

  如转岗、离职、休长假等

• 以及其他可以参考的依据

内容检测分数来源：

• 邮件标题检测结果

• 邮件正文检测结果

• 邮件附件检测结果

适合机器学习的部分

公共关系库

为发送对象建立画像，包括但不限于有长期业务来往的监管机构、商户、合作伙伴等，员工私人邮箱、亲友邮箱，以及竞争对手或一些特殊域名（比如亚马逊的kindle）

语义学习库

针对不同用途的邮件，会使用不同的商务用语或专业话术表达，如面向监管机构的消息报送、司法协查，或面向商户及合作伙伴的业务交流等。可以帮助安全人员在不直接审查邮件的前提下，基于邮件正文或附件内容鉴别外发的合理性。

文件类型库

根据附件的文件类型设定风险阈值，如代码类、文档类等较容易包含敏感数据的类型。此外还可以基于文件大小、文件名称作为风险分值的参考，如csv、xlsx等数据文件一般文件越大，携带数据的行、列越多。

精彩推荐